1. Beveiligingsaanpak

Doqubox is gebouwd voor organisaties die klantdocumenten veiliger willen opvragen, ontvangen en versturen dan via gewone e-mailbijlagen. De dienst combineert veilige links, ontvangerverificatie, encryptie, passkey-toegang, bewaartermijnen en EU-georienteerde dienstverleners.

Deze pagina beschrijft de technische en organisatorische maatregelen die we vandaag toepassen. Doqubox wordt momenteel niet gepresenteerd als ISO 27001-, SOC 2-, NEN 7510- of NTA 7516-gecertificeerd.

2. Architectuur

• Documentuitwisseling loopt via aparte upload-, download- en aanvraagpagina's in plaats van e-mailbijlagen.
• Accountgebruikers loggen in met passkeys, waardoor wachtwoordrisico's worden verminderd.
• Externe ontvangers kunnen met een eenmalige code worden geverifieerd voordat zij toegang krijgen tot gevoelige flows.
• Tijdelijke documentuitwisselingsgegevens zijn ontworpen om te verlopen, met standaard bewaartermijnen die onnodige opslag beperken.

3. Encryptie en toegang

Verkeer van en naar Doqubox is versleuteld tijdens transport. Opgeslagen bestanden en servicegegevens worden beschermd met encryptie en toegangscontroles. In ondersteunde workflows wordt bestandsinhoud client-side versleuteld, zodat Doqubox geen gewone server-side toegang tot leesbare documentinhoud nodig heeft.

Sommige gegevens moeten nog wel door Doqubox worden verwerkt om de dienst te laten werken, zoals accountgegevens, aanvraagmetadata, ontvangergegevens, facturatiegegevens, logs en e-mail- of sms-bezorgmetadata.

4. Accountbeveiliging

• Passkeys worden gebruikt voor accountauthenticatie.
• Bedrijfstoegang is beperkt tot goedgekeurde gebruikers en beheerders.
• Activiteitenregistraties helpen gebruikers te zien of bestanden zijn geupload, geopend, gedownload of verwijderd.
• Eigen domeinen en pagina's met branding zijn beschikbaar voor zakelijke situaties waarin klantvertrouwen belangrijk is.

5. Bewaring en dataminimalisatie

Doqubox is ontworpen om gevoelige documentuitwisselingsgegevens niet langer te bewaren dan nodig. Tijdelijke berichten en bestanden worden verwijderd volgens bewaartermijnen en verloopgedrag, terwijl facturatie-, beveiligings- en wettelijke administratiegegevens langer kunnen worden bewaard.

Zie de bewaartermijnpagina voor de actuele bewaarmatrix.

6. Infrastructuur en subverwerkers

Doqubox streeft ernaar EU-gebaseerde infrastructuur en subverwerkers te gebruiken waar praktisch mogelijk. Hosting, object storage en uitgaande SMTP verlopen momenteel via Hetzner in de EU. Sms-verificatie en betalingen worden verzorgd door gespecialiseerde providers.

Zie de subverwerkerspagina voor de actuele lijst.

7. Operationele maatregelen

• Toegang tot productiesystemen is beperkt tot personen met een operationele noodzaak.
• Beveiligingsrelevante events en operationele logs ondersteunen probleemoplossing, misbruikpreventie en incidentrespons.
• Backups en herstelprocedures ondersteunen de continuiteit van de dienst.
• Afhankelijkheden en infrastructuur worden beoordeeld als onderdeel van regulier onderhoud.

8. Belangrijke beperkingen

Client-side encryptie is een sterke privacymaatregel, maar betekent ook dat Doqubox versleutelde bestandsinhoud mogelijk niet server-side kan inspecteren op malware, indexering, previews of inhoudsclassificatie. Klanten houden daarom passende endpointbeveiliging en interne reviewprocessen nodig.

De beveiligingsmaatregelen van Doqubox zijn bedoeld om klanten te helpen voldoen aan de AVG rond beveiliging, dataminimalisatie en bewaartermijnen voor documentuitwisseling. Je organisatie houdt zelf regie over welke documenten worden opgevraagd, wie ze ontvangt en hoe ze passen binnen de eigen klantprocessen.

9. Responsible disclosure

Als je denkt een kwetsbaarheid in Doqubox te hebben gevonden, meld dit dan via security@doqubox.com. We waarderen meldingen te goeder trouw die helpen om klanten en de personen van wie zij documenten verwerken te beschermen.

Vermeld duidelijke reproductiestappen, de betrokken URL of functionaliteit, de mogelijke impact en screenshots of logs waar dat veilig kan. Voeg geen persoonsgegevens toe, tenzij dit strikt nodig is om het probleem aan te tonen.

• Vernietig, wijzig, download of openbaar geen data die niet van jou is.
• Gebruik geen social engineering, phishing, spam, denial-of-service-tests of fysieke aanvallen.
• Stop met testen en meld het direct als je klantgegevens ziet of toegang kunt krijgen tot een ander account.
• Geef ons redelijke tijd om het probleem te onderzoeken en op te lossen voordat je het openbaar maakt.

We streven ernaar kwetsbaarheidsmeldingen binnen 3 werkdagen te bevestigen. Doqubox heeft momenteel geen betaald bug bounty-programma, maar we waarderen verantwoord beveiligingsonderzoek binnen dit beleid.

10. Gerelateerde documenten

• Verwerkersovereenkomst
• Privacyverklaring
• Subverwerkers